У меня возникла проблема, которая почти наверняка связана с тем, как я настроил блокировку отказа в моей системной аутентификации PAM и аутентификации по паролю на некоторых серверах RHEL7. Мы обязаны использовать STIG, поэтому я должен использовать отказоустойчивую блокировку с определенными параметрами, связанными с ней. Для общего доступа пользователей по SSH все нормально. Проблема проявляется только при запуске сканирования Nessus/уязвимостей с использованием имени пользователя и пароля для аутентификации. Странно то, что я могу подключиться по SSH и запустить все команды sudo, используя одну и ту же учетную запись сканирования, и сканер изначально не сообщает о проблемах с аутентификацией. Однако в какой-то момент сканирование выявляет 3 неверных пароля и запускает блокировку для предотвращения доступа. Из журналов, которые я видел, я предполагаю, что пароль не работает, когда он используется для sudo, который, как я полагаю, является файлом системной аутентификации. Если я удаляю конфигурации отказоустойчивости из моей аутентификации по паролю и системной аутентификации, сканирование проходит нормально. Если я использую учетную запись AD, у меня нет этой проблемы, но я считаю, что это только потому, что учетные записи AD не привязаны к отказоустойчивости. Эта проблема также возникла только после того, как мы интегрировали наши серверы RHEL7 в AD через sssd, но этот процесс также требует внесения некоторых изменений в конфигурацию authconfig.
Это файл authconfig, который я использую сейчас, но я пробовал несколько вариантов с изменением размещения строк, количества пропускаемых строк и т. д., но все безуспешно. Наверное, это что-то очевидное, но я не умный человек.
требуется авторизация pam_env.so
требуется авторизация pam_faildelay.so delay=2000000
требуется аутентификация pam_faillock.so автоматический аудит предварительной аутентификации even_deny_root unlock_time=900 fail_interval=900 deny=3
auth [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_pkcs11.so nodebug
auth [по умолчанию=1 ignore=игнорировать success=ok] pam_succeed_if.so uid >= 1000 тихий
auth [по умолчанию = 1 игнорировать = игнорировать успех = хорошо] pam_localuser.so
достаточно аутентификации pam_unix.so try_first_pass
реквизиты для аутентификации pam_succeed_if.so uid >= 1000 quiet_success
достаточно авторизации pam_sss.so forward_pass
auth [по умолчанию = умереть] pam_faillock.so authfail аудит deny=3 even_deny_root fail_interval=900 unlock_time=900
требуется авторизация pam_deny.so
требуется учетная запись pam_faillock.so
требуется учетная запись pam_unix.so
достаточная учетная запись pam_localuser.so
достаточная учетная запись pam_succeed_if.so uid < 1000 тихий
аккаунт [по умолчанию=плохой успех=ок, user_unknown=игнорировать] pam_sss.so
требуется учетная запись pam_permit.so
пароль необходим pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
достаточный пароль pam_unix.so sha512 shadow try_first_pass use_authtok
достаточный пароль pam_sss.so use_authtok
требование пароля pam_pwhistory.so use_authtok запомнить=5 повторить=3
требуется пароль pam_deny.so
необязательный отзыв сеанса pam_keyinit.so
требуется сеанс pam_limits.so
-session необязательный pam_systemd.so
необязательный сеанс pam_oddjob_mkhomedir.so umask=0077
session [success=1 default=ignore] pam_succeed_if.so сервис в crond тихий use_uid
требуется сеанс pam_unix.so
необязательный сеанс pam_sss.so